Компьютерная преступность и компьютерная безопасность

привели к появлению новой дисциплины: безопасность информации. Специалист в

области безопасности информации отвечает за разработку, реализацию и

эксплуатацию системы обеспечения информационной безопасности, направленной

на поддержание целостности, пригодности и конфиденциальности накопленной в

организации информации. В его функции входит обеспечение физической

(технические средства, линии связи и удаленные компьютеры) и логической

(данные, прикладные программы, операционная система) защиты информационных

ресурсов.

Сложность создания системы защиты информации определяется тем, что

данные могут быть похищены из компьютера и одновременно оставаться на

месте; целостность некоторых данных заключается в обладании ими, а не в

уничтожении или изменении.

Обеспечение безопасности информации – дорогое дело, и не столько из-за

затрат на закупку или установку средств, сколько из-за того, что трудно

квалифицированно определить границы разумной безопасности и

соответствующего поддержания системы в работоспособном состоянии.

Если локальная сеть разрабатывалась в целях совместного использования

лицензионных программных средств, дорогих цветных принтеров или больших

файлов общедоступной информации, то нет никакой потребности даже в

минимальных системах шифрования /дешифрования информации.

Средства защиты информации нельзя проектировать, покупать или

устанавливать до тех пор, пока не произведен соответствующий анализ. Анализ

риска должен дать объективную оценку многих факторов (подверженность

появления нарушений работы, ущерб от коммерческих потерь, снижение

коэффициента системы, общественные отношения, юридические проблемы) и

представить информацию для определения подходящих типов и уровней

безопасности. Коммерческие организации все в большей степени переносят

критическую корпоративную информацию с больших вычислительных систем в

среду открытых систем и встречаются с новыми сложными проблемами при

реализации и эксплуатации системы безопасности. Сегодня все больше

организаций разворачивают мощные распределенные базы данных и приложения

клиент/сервер для управления коммерческими данными. При увеличении

распределения возрастает также и риск неавторизованного доступа к данным и

их искажения.

Шифрование данных традиционно использовалось правительственными и

оборонными департаментами, но в связи с изменением потребностей, некоторые

наиболее солидные компании начинают использовать возможности,

предоставляемые шифрованием для обеспечения конфиденциальности информации.

Финансовые службы компаний (прежде всего в США ) представляют важную и

большую пользовательскую базу и часто специфические требования

предъявляются к алгоритму, используемому в процессе шифрования.

Опубликованные алгоритмы, например DES (см. ниже), являются обязательными.

В то же время, рынок коммерческих систем не всегда требует такой строгой

защиты, как правительственные или оборонные ведомства, поэтому возможно

применение продуктов и другого типа, например PGP (Pretty Good Privacy).

Шифрование

Шифрование данных может осуществляться в режимах On-line (в темпе

поступления информации) и Off-line (автономно). Остановимся подробнее на

первом типе, представляющем большой интерес. Наиболее распространены два

алгоритма:

Стандарт шифрования данных DES (Data Encryption Standart) был

разработан фирмой IBM в начале 70-х годов и в настоящее время является

правительственным стандартом для шифрования цифровой информации. Он

рекомендован Ассоциацией Американских банкиров. Сложный алгоритм DES

использует ключ длиной 56 бит и 8 бит проверки на четность и требует от

злоумышленника перебора 72 квадриллионов возможных ключевых комбинаций,

обеспечивая высокую степень защиты при небольших расходах. При частой смене

ключей алгоритм утвердительно решает проблему превращения конфиденциальной

информации в недоступную.

Алгоритм RSA был изобретен Ривестом, Шамиром и Альдерманом в 1976 году

и представляет собой значительный шаг в криптографии. Этот алгоритм также

был принят в качестве стандарта Национальным бюро стандартов. DES,

технически является симметричным алгоритмом, а RSA – асимметричным, т.е. он

использует разные ключи при шифровании и дешифровании. Пользователи имеют

два ключа и могут широко распространять свой открытый ключ. Открытый ключ

используется для шифрования сообщения пользователем, но только определенный

получатель может дешифровать его своим секретным ключом; открытый ключ

бесполезен для дешифрования. Это делает ненужными секретные соглашения о

передаче ключей между корреспондентами. DES определяет длину данных и

ключа в битах, а RSA может быть реализован при любой длине ключа. Чем

длиннее ключ, тем выше уровень безопасности (но становится длительнее

процесс шифрования и де шифрования). Если ключи DES можно сгенерировать за

микросекунды, то примерное время генерации ключа RSA – десятки секунд.

Поэтому открытые ключи RSA предпочитают разработчики программных средств, а

секретные ключи DES – разработчики аппаратуры.

§4 Физическая защита данных

1. Кабельная система

Кабельная система остается главной ''ахиллесовой пятой '' большинства

локальных вычислительных сетей: по данным различных исследований именно

кабельная система является причиной более чем половины всех отказов сети. В

связи с этим кабельной системе должно уделяться особое внимание с самого

момента проектирования сети.

Наилучшим способом избавить себя от ''головной боли'' по поводу

неисправностей прокладки кабеля является использование получивших широкое

распространение в последнее время так называемых структурированных

кабельных систем, использующих одинаковые кабели для передачи данных в

локальной вычислительной сети, локальной телефонной сети, передачи

видеоинформации или сигналов от датчиков пожарной безопасности или охраны

систем. К структурированным кабельным системам относятся, например,

SYSTIMAX SCS фирмы AT&T, OPEN DECconnect компании DIGITAL, кабельная

система корпорации IBM.

Понятие “структурированность” означает, что кабельную систему здания

можно разделить на несколько уровней в зависимости от назначения и

местоположения компонентов кабельной системы. Например кабельная система

SYSTIMAX SCS состоит из:

. -внешней подсистемы (campus subsystem);

. -аппаратных (equipment room);

. -административной подсистемы (administrative subsystem);

. -магистрали (backbone cabling);

. -горизонтальной подсистемы (Horizontal subsystem);

. -рабочих мест ( work location subsystem);

Внешняя подсистема состоит из медного оптоволоконного кабеля,

устройств электрической защиты и заземления и связывает коммуникационную и

обрабатывающую аппаратуру в здании (или комплексе зданий). Кроме того, в

эту подсистему входят и устройства сопряжения внешних кабельных линий с

внутренними.

Аппаратные служат для размещения различного коммуникационного

оборудования, предназначенного для обеспечения работы административной

подсистемы.

Административная подсистема предназначена для быстрого и легкого

управления кабельной системы SYSTIMAX SCS при изменении планов размещения

персонала и отделов. В ее состав входят кабельная система (неэкранированная

витая пара и оптоволокно), устройства коммутации и сопряжения магистрали и

горизонтальной подсистемы, соединительные шнуры, маркировочные средства и

т.д.

Магистраль состоит из медного кабеля или комбинации медного и

оптоволоконного кабеля и вспомогательного оборудования. Она связывает между

собой этажи здания или большие площади одного и того же этажа.

Горизонтальная система на базе второго медного кабеля расширяет

магистраль от входных точек административной системы этажа к розеткам на

рабочем месте.

И, наконец, оборудование рабочих мест включает в себя соединительные

шнуры, адаптеры, устройства сопряжения и обеспечивает механическое и

электрическое соединение между оборудованием рабочего места и

горизонтальной кабельной подсистемы.

Наилучшим способом защиты кабеля от физических (а иногда температурных

и химических воздействий, например в производственных цехах) является

прокладка кабелей с использованием в различной степени защищенных коробов.

При прокладке сетевого кабеля вблизи источников электромагнитного излучения

необходимо выполнять следующие требования:

1) Неэкранированная витая пара должна стоять минимум на 15-30 см от

электрического кабеля, розеток, трансформаторов и т.д.

2) Требования к коаксиальному кабелю менее жесткие – расстояние до

электрической линии или электроприборов должно быть не менее 10-15

см.

Другая важная проблема правильной инсталляции и безотказной работы

кабельной системы – соответствие всех ее компонентов требованиям

международных стандартов.

Наибольшее распространение в настоящее время получили следующие

стандарты кабельных систем:

Спецификации корпорации IBM, которые предусматривают девять различных

типов кабелей. Наиболее распространенный среди них является кабель IBM type

1 – экранированная витая пара (STP) для сетей Token Ring.

Система категорий Underwriters Labs (UL), представлена этой

лабораторией совместно с корпорацией ANIXTER. Система включает 5 уровней

кабелей. В настоящее время система UL приведена в соответствии с системой

категорий EIA/TIA.

Стандарт EIA/TIA 568 был разработан совместными усилиями UL, American

National Standards Institute (ANSI), Electronic Industry Association,

Telecommunications Industry Association, под группой TR 41.8.1 для

кабельных систем в витой паре (UTR)

В дополнение к стандарту EIA/TIA 568 существует документ DIS 11801

разработанный International Standard Organization (ISO) и International

Electrotechnical Commission (IEC). Данный стандарт использует термин

«категория» для отдельных кабелей и термин «класс» для кабельных систем.

Необходимо также отметить, что требования стандарта EIA/TIA 568

относятся только к сетевому кабелю. Но реальные системы, помимо кабеля,

включают также соединительные разъемы, розетки, распределительные панели и

другие элементы. Использование только кабеля категории 5 не гарантирует

создание кабельной системы этой категории. В связи с этим все

вышеперечисленное оборудование должно быть также сертифицировано на

соответствие данной категории кабельной системы.

2. Системы электроснабжения

Наиболее надежным средством предотвращения потерь информации при

кратковременном отключении электроэнергии является установка источников

бесперебойного питания, Различные по своим технологическим и

потребительским характеристикам, подобные устройства могут обеспечить

питание по всей локальной сети или отдельных компьютеров в течение

промежутка времени, достаточного для восстановления подачи напряжения или

для сохранения информации на магнитные носители. Большинство источников

бесперебойного питания одновременно выполняет функцию и стабилизатора

напряжения, что является дополнительной защитой от скачков напряжения в

сети. Многие современные сетевые устройства – серверы, концентраторы, мосты

и др. – оснащены собственными дублированными системами электропитания.

За рубежом корпорации имеют собственные аварийные электрогенераторы

или резервные линии электропитания. Эти линии подключены к разным

подстанциям, и при выходе из строя одной из них, электроснабжение

осуществляется с резервной подстанции.

3. Системы архивирования и дублирования информации

Организация надежной и эффективной системы архивации данных является

одной из важнейших задач по обеспечению сохранности информации в сети. В

небольших сетях, где установлены один-два сервера, чаще всего применяется

установка системы архивации непосредственно в свободные слоты серверов. В

крупных корпоративных сетях наиболее предпочтительно организовать

выделенный специализированный архивационный сервер.

Хранение архивной информации, представляющей особую ценность, должно

быть организовано в специальном охраняемом помещении. Специалисты

рекомендуют хранить дубликаты архивов наиболее ценных данных в другом

здании, на случай пожара или стихийного бедствия.

§5 Программные и программно-аппаратные методы защиты

1. Защита от компьютерных вирусов

Вряд ли найдётся хотя бы один пользователь или администратор сети,

который бы ни разу не сталкивался с компьютерными вирусами. По данным

исследования, проведённого фирмой Creative Strategies Research, 64% из 451

опрошенного специалиста испытали "на себе" действие вирусов. На сегодняшний

день дополнительно к тысячам уже известных вирусов появляется 100-150 новых

штампов ежемесячно. Наиболее распространёнными методами защиты от вирусов

по сей день остаются антивирусные программы.

Однако в качестве перспективного подхода к защите от компьютерных

вирусов в последние годы всё чаще применяется сочетание программных и

аппаратных методов защиты. Среди аппаратных устройств такого плана можно

отметить специальные антивирусные платы, которые вставляются в стандартные

слоты расширения компьютера. Корпорация Intel в 1994 году перспективную

технологию защиты от вирусов в компьютерных сетях. Flash - память сетевых

адаптеров Intel EtherExpress Pro/10 содержит антивирусную программу,

сканирующую все системы компьютера ещё до его разгрузки.

2. Защита от несанкционированного доступа

Проблема защиты информации от несанкционированного доступа особо

обострилась с широким распространением локальных и, особенно, глобальных

компьютерных сетей. Необходимо также отметить, что зачастую ущерб наносится

не из-за "злого умысла", а из-за элементарных ошибок пользователей, которые

случайно портят или удаляют жизненно важные элементы. В связи с этим,

помимо контроля доступа, необходимым элементом защиты информации в

компьютерных сетях является разграничение полномочий пользователей.

В компьютерных сетях при организации контроля доступа и разграничения

полномочий пользователей чаще всего используют встроенные средства сетевых

операционных систем. Так, крупнейший производитель сетевых ОС - корпорация

Novell - в своём последнем продукте NetWare 4.1 предусмотрел помимо

стандартных средств ограничения доступа, таких, как система паролей и

разграничения полномочий, ряд новых возможностей, обеспечивающих первый

класс защиты данных. Новая версия NetWare предусматривает, в частности,

возможность кодирования данных по принципу "открытого ключа" (алгоритм RSA)

с формированием электронной подписи для передаваемых по сети пакетов.

В тоже время в такой системе организации защиты всё равно остаётся

слабое место: уровень доступа и возможность входа в систему определяются

паролем. Не секрет, что пароль можно подсмотреть или подобрать. Для

исключения возможности неавторизованного входа в компьютерную сеть в

последнее время используется комбинированный подход - пароль +

идентификация пользователя по персональному "ключу". В качестве "ключа"

может использоваться пластиковая карта (магнитная или со встроенной

микросхемой smart card) или различные устройства для идентификации личности

по биометрической информации - по радужной оболочке глаз или отпечатков

пальцев, размерами кисти руки и так далее.

Оснастив сервер или сетевые рабочие станции, например, устройством

чтения смарт-карточек и специальным программным обеспечением, можно

значительно повысить степень защиты от несанкционированного доступа. В этом

случае для доступа к компьютеру пользователь должен вставить смарт-карту в

устройство чтения и ввести свой персональный код. Программное обеспечение

позволяет установить несколько уровней безопасности, которые управляются

системным администратором. Возможен и комбинированный подход с вводом

дополнительного пароля при этом приняты специальные меры против "перехвата"

пароля с клавиатуры. Этот подход значительно надёжнее применения паролей,

поскольку, если пароль подглядели, пользователь об этом может не узнать,

если же пропала карточка, можно принять меры немедленно.

Смарт-карты управления доступом позволяют реализовать, в частности,

такие функции, как контроль входа, доступ к устройствам персонального

компьютера, доступ к программам, файлам и командам. Кроме того, возможно

также осуществление контрольных функций, в частности, регистрация попыток

запроса доступа к ресурсам, использования запрещённых утилит, программ,

команд DOS.

Одним из удачных примеров создания комплексного решения для контроля

доступа в открытых системах, основанного как на программных, так и на

аппаратных средствах защиты, стала система Kerberos. В основе этой схемы

авторизации лежат три компонента:

. База данных, содержащая информацию по всем сетевым ресурсам,

пользователям, паролям, шифровальным ключам и т. д.

. Авторизационный сервер (authentication server), обрабатывающий все

запросы пользователей на предмет получения того или иного вида

сетевых услуг. Авторизационный сервер, получая запрос от

пользователя, обращается к базе данных и определяет, имеет ли

пользователь право на совершение данной операции. Примечательно,

что пароли пользователей по сети не передаются, что также повышает

степень защиты информации.

. Ticket - granting server (сервер выдачи разрешений) получает от

авторизационного сервера "пропуск", содержащий имя пользователя и

его сетевой адрес, время запроса и ряд других параметров, а также

уникальный ключ. Пакет, содержащий "пропуск", передаётся также в

зашифрованном по алгоритму DAS виде. После получения и расшифровки

"пропуска" сервер выдачи разрешений проверяет запрос и сравнивает

ключи и затем даёт "добро" на использование сетевой аппаратуры и

программ.

Среди других подобных комплексных систем можно отметить разработанную

Европейской Ассоциацией Производителей Компьютеров (ECMA) систему Sesame

(Secure European System for Applications in Multivendor Environment),

предназначенную для использования в крупных гетерогенных сетях.

3. Защита информации при удалённом доступе

По мере расширения деятельности предприятий, роста численности

персонала и появления новых филиалов, возникает необходимость доступа

удалённых пользователей (или групп пользователей) к вычислительным и

информационным ресурсам главного офиса компании. Компания Datapro

свидетельствует, что уже в 1995 году только в США число работников,

постоянно или временно использующих удалённый доступ к компьютерным сетям,

составит 25 млн. человек. Чаще всего для организации удалённого доступа

используются кабельные линии (обычные телефонные или выделенные) и

радиоканалы. В связи с этим защита информации, передаваемой по каналам

удалённого доступа, требует особого подхода.

В частности, в мостах и маршрутизаторах удалённого доступа применяется

сегментация пакетов - их разделение и передача параллельно по двум линиям -

что делает невозможным "перехват" данных при незаконном подключении

"хакера" к одной из линий. К тому же используемая при передаче данных

процедура сжатия передаваемых пакетов гарантирует невозможность расшифровки

"перехваченных" данных. Кроме того, мосты и маршрутизаторы удалённого

доступа могут быть запрограммированы таким образом, что удалённые

пользователи будут ограничены в доступе к отдельным ресурсам сети главного

офиса.

Разработаны и специальные устройства контроля доступа к компьютерным

сетям по коммутируемым линиям. Например, фирмой AT&T предлагается модуль

Remote Port Security Device (RPSD), представляющий собой 2 блока размером с

обычный модем: RPSD Lock (замок), устанавливаемый в центральном офисе, и

RPSD Key (ключ), подключаемый к модему удалённого пользователя. RPSD Key и

Lock позволяют установить несколько уровней защиты и контроля доступа, в

частности:

. Шифрование данных, передаваемых по линии при помощи генерируемых

цифровых ключей;

. Контроль доступа в зависимости от дня недели или времени суток

(всего 14 ограничений).

Широкое распространение радиосетей в последние годы поставило

разработчиков радиосетей перед необходимостью защиты информации от

"хакеров", вооружённых разнообразными сканирующими устройствами. Были

применены разнообразные технические решения. Например, в радиостанции

компании RAM Mobil Data информационные пакеты передаются через разные

каналы и базовые станции, что делает практически невозможным для

посторонних собрать всю передаваемую информацию воедино. Активно

используется в радиосетях и технология шифрования данных при помощи

алгоритмов DES и RSA.

Заключение

Итак, в работе освещены и исследованы возможные способы компьютерных

преступлений, а также выявлены методы защиты от них.

Проследив это в работе, я сделала вывод о том, что все компьютерные

преступления условно можно подразделить на две большие категории -

преступления, связанные с вмешательством в работу компьютеров, и

преступления, использующие компьютеры как необходимые технические средства.

В российском уголовном законодательстве уголовно-правовая защита

компьютерной информации введена впервые. Уголовный кодекс РФ, введённый в

действие с 1 января 1997 года, содержит главу №28 "Преступления в сфере

компьютерной информации".

Хакеры, "электронные корсары", "компьютерные пираты" - так называют

людей, осуществляющих несанкционированный доступ в чужие информационные

сети. Сомнения в необходимости существования уголовно-правовой защиты

компьютерной информации нет. Уголовный закон достаточно строго преследует

за совершение компьютерных преступлений. Это связано с высокой степенью

общественной опасности.

Так же хотелось бы подчеркнуть, что абсолютную надёжность и

безопасность в компьютерных сетях не смогут гарантировать никакие

аппаратные, программные и любые другие решения. В то же время свести риск

потерь возможно лишь при комплексном подходе к вопросам безопасности.

Литература

1. Уголовный кодекс РФ.

2. Комментарий к УК РФ.

3. М.Рааб (M.Raab) Защита сетей: наконец-то в центре внимания \\

Компьютеруолд Москва, 1994, №29.

4. С.В.Сухова. Система безопасности Net Ware \\ "Сети", 1995, №4.

5. Д.Векслер (J/Wexler) Наконец-то надёжно обеспечена защита данных в

радиосетях \\ Компьютеруолд, М., 1994 г., №17.

6. В.Беляев. Безопасность в распределительных системах \\ Открытые систмы,

М., 1995 г., №3.

7. Д.Ведеев. Защита данных в компьютерных сетях \\ Открытые системы, М.,

1995 г., №3.

8. Федеральный закон от 20 февраля 1995 года "Об информации, информатизации

и защите информации".

9. Ведомости РФ, 1992 г., №42

10. Новое уголовное право России. Особенная часть. М., 1996 г.

11. Батурин Ю.М., Жодзишкий А.М. Кмпьютерная преступность и компьютерная

безопасность, М., 1991 г.

12. Китов И. Компьютерные вирусы. \\ Монитор №28(42) 21-27 мая 1997 г.

-----------------------

[1] См. Ведомости РФ, 1992 г., №42, ст. 2325

[2] См. СЗ РФ, 1995 г., №8, ст. 609

[3] См. подробнее: Новое уголовное право. Особенная часть, М., 1996 г., с.

271-274

Страницы: 1, 2, 3